Mon serveur indispo ? merci roundcube

Salut,
Du fait d’un résidu de conf de test de RoundCube, un soft de webmail joli mais pas très fonctionnel (de ce que j’en avais testé, tout l’IMAP n’était pas bien géré) ; en version 0.1 à l’époque, je me suis fait un peu hacké mon serveur récemment… récup de scripts pas joli-joli, en Russie tu penses bien. Et grosses attaques brute-force SSH depuis mon serveur. Youpi…

Je vois que le soft est en version 0.2… j’attendrai la 1.0 avant de jeter un oeil à ce truc à nouveau… ou un paquet Debian, ce qui sera une bonne preuve de fiabilité je pense…

Conclusion ? y’aurait beaucoup à dire, je retiendrai seulement : évitez roundcube, c’est « beau » mais c’est troué ; évitez les applis à la con ; évitez d’être trop ouvert dans vos règles réseaux firewall -> net etc etc… et vive une petite nuit pourrie pour en profiter pour remettre au carré certains détails qu’on remet toujours à demain….

Merci à Toinator qui a noté mon activité réseau débordante tout à fait par hasard (j’avais rien vu – ouuups, je remets quelques sondes là…). Le plus fun, c’est qu’il lui était arrivé la même chose…. avec le même logiciel….

13 comments

  1. En même temps, la faille a été communiquée le 16 décembre 2008 et depuis, les pseudos hackers scannent les répertoires webmail & roundcube…. Donc le soft en lui même n’est pas troué, puisque la faille a été corrigée…
    Encore un problème entre la chaise et le clavier, qui tente de gueuler sur les devs..

  2. C’est un trou de sécurité connu depuis presque 4 mois, c’est un peu ta faute de pas l’avoir mis à jour quand-même 🙂

  3. Comme toutes les applis web, il ne faut pas laisser une installation à l’abandon, un test est un test.

    Et lorsqu’on utilise une applis web, il faut suivre les mises à jour surtout en ce qui concerne les alertes de sécurité:

    http://secunia.com/advisories/product/19066/?task=advisories_2008

    Le fait d’avoir des failles dans un logiciel ne veux pas forcément dire que c’est une applis pourrie.

    Aucune application n’est et ne sera jamais à 100% sure.

  4. ah tiens je suis pas le seul. ça venait du brésil non ?

    dans mon log d’erreurs apache j’ai pu voir ça : http://pastebin.com/f612db354

    J’ai retrouvé mon pc inaccessible depuis le net avec un script perl (le ddos.txt je pense) qui tournait avec l’utilisateur www-data et qui consommait beaucoup de bande passante.
    Je n’ai pas trouvé comment c’était exécuté (le script repartait au redémarrage d’apache) mais ça devait être ça : http://pastebin.com/f2317a2a3 (trouvé dans le log).

    Mais c’est clair, aurevoir roundcube !

  5. Je réponds en bloc :

    – Aux donneurs de leçons : mais oui c’est ma faute. Super, ça me fait les pieds. La honte sur moi, je m’en vais me fouetter avec des orties fraîches. Le truc, c’est qu’il me restait qu’un répertoire, et même plus la base de données (ça pète donc avant, PHP pur) et même pas /roundcube, mais /webmail2. Il se trouve que dans le merdier de code qu’ils m’ont laissé, /webmail et /webmail2 font partie de la 10aine d’adresses qu’ils testent, c’est con…. (encore /roundcube, je dis pas…. webmail2 putaing….)
    La faille était publiée, cool, je l’ai loupée. Quand vous vous en prendrez une dans la gueule, vous le raconterez ou vous la fermerez ? ah non, z’êtes intouchables 🙂 J’admire.

    – Aux sceptiques : oui, c’est roundcube, 100%. Tu vois un merdier de trace de wget dans ton error.log apache, coïncidant avec des requetes de la même IP sur l’alias de roundcube

    – Y’a un paquet squeeze ? bien, à dans 2 ans, donc 🙂

    Le but de mon ticket est juste de souligner la chose et de rappeler : gaffe aux trucs qu’on teste vite fait entre 2 biberons un soir (je parle de mes momes, pas mes propres biberons 😉 Quelques fois on laisse des boulettes trainer…

    Et un autre truc qui ma chagrine : mon hébergeur ne se bouge pas le cul quand une machine se met à balancer du port 22 sur toute la planète le plus vite qu’elle peut…. génial…. si j’ai été léger sur ce coup là, que dire du professionel qui m’héberge ? Ils n’ont pas dû avoir le temps d’installer des softs de surveillance réseau je suppose. C’est pas comme si c’était leur boulot….
    A+

  6. Oh, j’ajoute :
    la faille donnée par Julien (3è post) est probablement la bonne car c’est en effet passé par html2txt.php
    C’est marrant, ça parle de la version 0.2 beta impactée….version « squeeze » en 0.1 donc…. Allez-y, j’vous regarde

    Bon je suppose que chez Debian, ils ont pas fait les porcs, ils ont ptet packagé une 0.1 avec la faille corrigée.

    Ah tiens, j’avais pas lu la morale du commentaire plus haut : pb entre la chaise et le clavier. Je suis c-a-s-s-é

  7. Merci pour ton – malheureux – retour d’expérience, mais ça ne m’étonne qu’à moitié.
    Quand je connecte mon serveur perso à Internet (via DynDNS), j’ai tous les jours dans mes logs d’erreurs des petits malins qui essayent de récupérer le dossier /var/www/roundcube (sans succès vu que je ne l’utilise pas). Et à chaque fois ce sont aussi des IP venant de Russie ou de Pologne…
    Je comprendrai jamais le plaisir qu’ils ont à faire chier leur monde ceux là ! Quel plaisir s’ils n’étaient pas là, plus de pare-feux, sécurité inutile…
    Bonne chance pour tes réparations. 😉

  8. Aie aie aie, j’ai mal (de rigoler)
    logwatch, fail2ban ? connais pas, c’est sous windows c’est ça ??? c’est payant ? je peux le trouver sur edonkey ?

    C’est vrai que tu vas te sentir protégé avec un fail2ban qui va rien voir vu que le type fait 3 tests d’url relativement propres (/rouncude, /webmail, tout ça…).

    Merci pour ces conseils précieux ! vite, man securing-debian-howto, ah zut, ça passe pas, je vais poster sur commentcamarche

    Pour mon hébergeur, oui ça craint : honte sur moi car ça faisait une semaine que ma machine bourrinnait. J’ai rien vu. Et eux ? oui c’est lamentable aussi pour eux.

    Ca me fait penser que free l’a utilisé très peu de temps ce bel outil.

    Allez garde tes leçons de morales, la seule à retenir, c’est celle qui consiste à faire gaffe aux outils qu’on installe. L’objet de mon post. Et éventuellement, si ça avait intéressé du monde, de décrire comment ça s’est passé etc, comment réagir (ah ben je suis bête, je réinstalle bien sûr !!! et je commence par niquer tous mes logs des fois qu’un mec porte plainte)
    Je suis joueur, dire que je modère de tels commentaires….

  9. Coucou,

    Y’a non seulement une version de roundcube dans Squeeze, mais aussi dans les backports de Etch qui existe depuis au moins un an.

    Si tu as un serveur, c’est à toi d’en prendre soi michauko. J’utilise roundcube depuis deux ans, et c’est aussi une solution qui a été retenue par OVH dans les webmails qu’ils proposent. C’était aussi une solution retenue par Free. Ça me fait mal au cœur de voir quelqu’un dénigrer un produit qui n’est certes pas parfait, mais qui évolue vite et fonctionne très bien !

    Consulte les logs de ta machine, installe logwatch, installe fail2ban ou denyhosts, loggue le traffic de ta machine, prends la peine de nettoyer tes tests ou alors utilise une machine différente pas ouverte au public, et surtout je te conseille de te remettre en question avant de cracher sur le travail autres.
    D’ailleurs, je pense que ton hébergeur, que tu critiques aussi assez violemment, n’a pas la responsabilité de ton serveur ! Il peut éventuellement te limiter la bande passante, mais ce que tu en fais, il n’en moque un peu.

    Tiens, pour la route, un petit lien qui m’a été bien utile : http://www.debian.org/doc/manuals/securing-debian-howto/

Comments are closed.